◈ 개요
2003년 10월 24일 외국에서 발견되었으며, 국내에는 아직까지 발견 사례가 없지만, 주의해야
한다. E-메일로 바이러스 백신 프로그램 등으로 위장한 영어나 독일어로 작성되어 확산되는
인터넷 웜으로 첨부 파일 실행시 오류 메시지 박스를 출력한다. 웜 치료를 위해 바이로봇을
업데이트(10월 29일자)를 적용하여 진단 및 치료를 권고한다.
◈ 확산 방법
자체 내장된 SMTP 엔진을 이용하여 e-메일을 보내면서 확산되며, 영어나 독일어로 된 메일의
제목과 첨부 파일 등으로 위장하고 있으며 보낸 이가 UpDate@microsoft.com 처럼 잘 알려진
회사에서 보낸 것처럼 위장하는 것으로 추정된다. 메일제목 및 첨부파일은 다음의 리스트 중
에 선택된다.
메일 제목 : (다음 제목 리스트에서 선택)
- Neuer Virus im Umlauf!
- Sie haben mir einen Wurm geschickt!
- Sorry, Ich habe Ihre Mail bekommen
- Hi Olle, lange niks mehr geh
- Re: lol
- Viurs blockiert jeden PC (Vorsicht!)
- Hi Schnuckel was machst du so ?
- VORSICHT!!! Neuer Mail Wurm
- Re: Kontakt
- RE: Sex
- _berraschung
- Ich habe Ihre E-Mail bekommen !
- Jetzt rate mal, wer ich bin !?
- Neue Sobig Variante (Lesen!!)
- Sie versenden Spam Mails (Virus?)
- Ein Wurm ist auf Ihrem Computer!
- Langsam reicht es mir
- Back At The Funny Farm
- Ich Liebe Dich
- Lesen Sie sich das Dokument durch, bevor Sie meine oder anderen Mailbox sprengen!
첨부 파일 : (다음 파일명에서 선택.)
- AntiVirusDoc.pif
- Check-Patch.bat
- Screen_Doku.scr
- Removal-Tool.exe
- Perversionen.scr
- Bild.scr
- robot_mail.scr
- RobotMailer.com
- Privat.exe
- AntiTrojan.exe
- Mausi.scr
- NackiDei.com
- Anti-Sob.bat
- security.pif
- Funny.scr
- Liebe.com
- Odin_Worm.exe
- anti_virusdoc.pif
- check-patch.bat
- removal-tool.exe
- screen_doc.scr
- potency.pif
- perversion.scr
- pic.scr
- CM-Recover.com
- playme.exe
- robot_mailer.pif
- little-scr.scr
- love.com
- nacked.com
- Hengst.pif
- schnitzel.exe
- anti-trojan.exe
- NAV.pif
- love.com
- nacked.com
*참고 : 첨부 파일 사이즈는 일정하지 않다.
◈ 감염후 증상
1.메일로 첨부된 웜을 실행하면 다음의 경로의 웜의 복사본을 생성 시킨다.
- 윈도우 시스템 폴더\drv.exe
- 윈도우 시스템 폴더\similare.exe
- 윈도우 시스템 폴더\systemchk.exe
- 윈도우 시스템 폴더\filexe.exe
- 윈도우 시스템 폴더\winreg.exe 등.
2.다음과 같은 가짜 오류 메시지 박스를 출력하기도 한다.
타이틀 : Error
내 용 : File not complete!
3.재 부팅시 자동으로 실행되기 위하여 다음의 레지스트리의 웜의 경로를 추가하는데, 이때
추가되는 이름과 데이터는 일정하지 않고 랜덤하다. 아래의 내용은 그 중 하나의 예제이다.
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
이 름 : syspath
데이터 : (윈도우 시스템 폴더)\drv.exe
- HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrnetVersion\Run
이 름 : syspath
데이터 : (윈도우 시스템 폴더)\drv.exe
◈ 치료 방법
- 자동 치료 방법 : 2003년 10월 29일자 바이로봇 정기 업데이트시 이 웜에 대한 진단 및
치료(관련 파일 삭제) 가능하다.
- 수동 치료 방법
①윈도우 바탕화면의 『시작』 → 『실행』을 클릭한 후, 실행창에 regedit를 입력하여
레지스트리 편집기를 실행한다.
②레지스트리 편집기의 좌측창에서 아래의 순서대로 진행하여 항목을 찾는다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
③레지스트리 편집기의 우측창에서 새로 생성된 레지스트리키를 삭제한다.
예를들어) syspath c:\WINNT\System32\drv.exe
※ 잘못된 레지스트리의 수정작업은 시스템의 이상을 발생시킬 수 있으므로 수정 작업시 주의
하도록 한다.
◈ 추가 정보/참조사이트
하우리 : Win32/Sober.worm
안철수 연구소 : Win32/Sober.worm
정보보호진흥원 : Win32/Sober.worm 예보
◈ 문의처
정보통신원 시스템 운영과 (서울) 2989
(천안) 1723
- 공지사항 등 게시판의 게시 내용에 대한 문의는 해당 게시물에 표기된 연락처나 담당부서(VOC)로 문의해 주시기 바랍니다.